Hilangkan kerentanan VPN dengan Cloudflare One

Berita kasus

Pada 19 Januari 2024, Badan Keamanan Siber & Infrastruktur (CISA) mengeluarkan Emergency Directive 24-01: Mitigate Ivanti Connect Secure and Ivanti Policy Secure Vulnerabilities.

Pada tanggal 31 Januari, CISA mengeluarkan Petunjuk Tambahan V1 (Supplemental Direction V1 ) pada Petunjuk Darurat yang menginstruksikan semua  lembaga untuk segera memutuskan semua produk Ivanti Connect Secure dan Ivanti Policy Secure dari jaringan mereka dan melakukan beberapa tindakan sebelum mengaktifkan kembali produk tersebut.

Strategi Pelaku

Investigasi forensik (lihat blog  Volexity) menunjukkan bahwa serangan telah dimulai pada awal Desember 2023. Bukti menunjukkan bahwa pelaku ancaman menyatukan dua kerentanan yang sebelumnya tidak diketahui untuk mendapatkan akses ke Connect Secure dan Policy Secure. Penyerang dapat melewati autentikasi dan terlihat sebagai administrator yang “diautentikasi”, dan memanfaatkan kemampuan ini untuk menjalankan perintah sesuka mereka.  

Pelaku hampir memiliki kendali penuh atas produk tersebut dan mampu:

  • Mengambil kredensial dari pengguna yang masuk ke layanan VPN
  • Menggunakan kredensial ini untuk masuk ke sistem yang dilindungi untuk mencari lebih banyak data kredensial
  • Memodifikasi dokumen untuk mengaktifkan eksekusi kode jarak jauh
  • Menyebarkan shell web ke sejumlah server web
  • Reverse Tunnel dari peralatan kembali ke server perintah dan kontrolnya (C2)
  • Menghindari deteksi dengan menonaktifkan logging dan menghapus log yang ada

Little Appliance, Big Risk

Ini adalah insiden yang serius, hal ini menunjukkan kepada kita apa yang terjadi ketika pelaku kejahatan mampu mengambil kendali, dan tantangan yang dihadapi pelanggan untuk mendapatkan kembali kendali. Dua jenis risiko yang disorot:

• Administrator memiliki akses ke bagian internal peralatan

• Pengguna yang diautentikasi tanpa pandang bulu memiliki akses ke berbagai aplikasi dan sumber daya di jaringan perusahaan, sehingga meningkatkan risiko pergerakan lateral pelaku kejahatan

Solusi: Platform SASE Cloudflare

Cloudflare One adalah platform SASE Cloudflare. Meskipun Cloudflare One mencakup layanan keamanan dan jaringan secara luas, Kami ingin fokus pada dua poin yang disebutkan di atas.

Pertama, Cloudflare One menerapkan prinsip Zero Trust, termasuk prinsip least privilege. Dengan demikian, pengguna yang berhasil melakukan autentikasi hanya memiliki akses ke sumber daya dan aplikasi yang diperlukan untuk peran mereka. Prinsip ini juga membantu jika akun pengguna disusupi karena pelaku kejahatan tidak memiliki akses tingkat jaringan.

Kedua, meskipun administrator pelanggan perlu memiliki akses untuk mengonfigurasi layanan dan kebijakan mereka, Cloudflare One tidak menyediakan akses eksternal apa pun ke sistem internal platform Cloudflare. Tanpa akses tersebut, pelaku kejahatan tidak akan dapat melancarkan jenis serangan yang dilakukan ketika mereka memiliki akses ke internal alat Ivanti.

Saatnya menghilangkan VPN lama

Jika organisasi Anda terkena dampak dari arahan CISA, atau Anda siap melakukan modernisasi dan ingin menambah atau mengganti solusi VPN Anda saat ini, Cloudflare siap membantu. Layanan Zero Trust Network Access (ZTNA)Cloudflare, bagian dari platform Cloudflare One, adalah cara tercepat dan teraman untuk menghubungkan pengguna mana pun ke aplikasi apa pun. Untuk info lebih lanjut silahkan hubungi tim Leyun Asia.

Pengalaman Luar Biasa menanti Anda!

Tertarik dengan layanan kami? Silahkan kontak kami! Tim kami akan segera menghubungi anda dan menyediakan solusi yang optimal untuk setiap kebutuhan anda

Kontak kami
×

Hello Sobat Leyun!

Konsultasikan langsung masalah keamanan data, network  jaringan dan cloud management dengan tim ahli kami 😊 

Tim kami akan segera membalas anda, mohon ditunggu. 

×